Согласно исх. [7], Компьютерная криминалистика (CF) – это поддомен или область компьютерной безопасности, в которой используются программные инструменты и некоторые заранее определенные процедуры для извлечения и исследования компьютерной системы. В ходе этого упражнения извлекаются улики, связанные с компьютерными преступлениями, и затем передаются в суд для уголовного или гражданского судопроизводства. Чтобы процессы CF были приняты, необходимо следовать определенным критериям, которые удовлетворяют полноте, достоверности и объективности доказательств. До этого системы CF могли позволять сбор, извлечение и анализ цифровых доказательств. Модель CF, представленная Ref. [16] показывает, как доказательства могут быть извлечены на основе следующих этапов: выражение доказательств, анализ доказательств, абстрагирование доказательств, фиксация доказательств и обнаружение доказательств. Исходя из этого, важно отметить, что в компьютерной криминалистике восстановление данных является наиболее важным процессом, который в большинстве случаев может выполняться с помощью программного обеспечения для криминалистической экспертизы, такого как Encase и FTK. В исследовательской работе Ref. [17] также показывает, что в судебно-медицинском заключении должны быть указаны важные факты, например, где хранились собранные доказательства, кто их получил и что случилось с этими доказательствами. Это важные факты, лежащие в основе методов и процессов CF. Из-за характера и сложности данных, которые исследователи должны анализировать, как указывалось ранее, при выполнении этого процесса вручную могут возникать ошибки. По этой причине внедрение методов когнитивных вычислений DL в кибер-криминалистику, таких как интеллектуальный анализ данных, который может использоваться для выявления кибер-атак, и кластеризация, которая может использоваться для поиска закономерностей среди файлов журналов и / или записей, может улучшить процесс судебной экспертизы и помочь в снижении предвзятости. в судебно-медицинских расследованиях. Это может дополнительно помочь в оспаривании того, какие доказательства считаются допустимыми в суде или на любом гражданском слушании. Концепции DL более подробно описаны в следующем разделе.